美国政府已起诉一名俄罗斯国民,指控他参与了针对美国执法部门和关键基础设施的勒索软件攻击。
美国当局指控Mikhail Pavolovich Matveev(在网上也被称为“Wazawaka”和“Boriselcin”)是开发和部署Hive、LockBit和Babuk勒索软件变体的“核心人物”,从公司、学校、医院和政府机构勒索了数亿美元。
消息称,这三个勒索软件团伙已将美国数千名受害者作为目标。据美国司法部称,LockBit勒索软件团伙已实施了1400多次攻击,发出超过1亿美元的赎金要求,并收到超过7500万美元的赎金。Babuk已经执行了超过65次攻击并收到了1300万美元的赎金,而Hive则针对全球1500多名受害者并收到了高达1.2亿美元的赎金。
Matveev也被认为与俄罗斯支持的Conti勒索软件团伙有联系。据信,这名俄罗斯国民声称对针对哥斯达黎加政府的勒索软件攻击负责,Conti黑客要求支付2000万美元的赎金,同时推翻哥斯达黎加政府。
新泽西州和哥伦比亚特区的起诉书称,Matveev参与了从三个不同的分支或附属机构(包括Babuk、Hive和LockBit)分发勒索软件的阴谋。
起诉书称,2020年6月25日,Matveev和他的LockBit同谋对新泽西州帕赛克县的一家执法机构部署了LockBit勒索软件。检察官表示,2022年5月27日,Matveev与Hive共谋对总部位于新泽西州默瑟县的一家非营利性行为医疗机构进行勒索。2021年4月26日,Matveev和他的Babuk团伙据称对华盛顿特区的大都会警察局部署了勒索软件(起诉书)。
根据周二宣布对俄罗斯国民实施制裁的美国财政部的说法,Matveev还与针对包括美国航空公司在内的众多美国企业的其他勒索软件入侵有关。
在2021年1月俄罗斯顶级网络犯罪暗网论坛的一次讨论中,据称为Matveev的另一个昵称“Wazawaka”表示,他没有计划离开“俄罗斯母亲”的保护,而且出国旅行对他来说不是一个选择。
“俄罗斯母亲会帮助你的,”Wazawaka总结道。“爱你的国家,你将永远摆脱一切。”
2022年1月,著名美国安全媒体KrebsOnSecurity发布了谁是网络访问代理人“Wazawaka”,从Wazawaka在俄语网络犯罪论坛上的许多化名和联系方式中找到的线索,追溯到来自俄罗斯阿巴扎(Abaza)的33岁的Mikhail Matveev(联邦调查局说他的出生日期是1992年8月17日)。
那个故事发布一个月后,一个看起来与Matveev的社交媒体照片相同的人开始在Twitter上发布一系列奇怪的自拍视频,他在这些视频中猛烈抨击安全记者和研究人员,同时使用同一个Twitter账户为一个广泛使用的虚拟私人网络(VPN)设备发布漏洞代码。
The Record澄清说,在2022年8月发表的采访中,Matveev自己证实,除了Wazawaka,他还使用了Babuk、BorisElcin、unc1756 和Orange等昵称,Matveev本人在接受采访时表示,他在俄罗斯过着“平凡的生活”,从未接触过执法机构。
检察官也指控Matveev在网络犯罪论坛上使用了令人眼花缭乱的绰号,包括“Boriselcin”,这是一个健谈而傲慢的人,同时也是Babuk的公众形象,Babuk是一个在2020年新年前夜出现的勒索软件附属程序。
此前的报道显示,Matveev的另一个身份包括暗网论坛RAMP的创始人“Orange”。RAMP是“Ransom Anon Market Place”的缩写,安全公司Flashpoint的分析师表示,该论坛的创建是“直接回应了‘几个大型暗网论坛在勒索软件团伙DarkSide的Colonial Pipeline攻击后禁止勒索软件集体在其网站上发布消息’”。
在暗网论坛XSS的一个又一个帖子中,可以看到Matveev所谓的别名“Uhodiransomwar”发布了五天后拒绝谈判的公司的数据库下载链接。
5月20日,在XSS论坛上,LockBit勒索软件团伙账号“LockBitSupp”评论了FBI将Mikhail Matveev列入国际通缉名单的消息,他认为登上FBI荣誉榜“很酷”,并希望这样做。
Matveev被指控共谋传送赎金要求,共谋破坏受保护的计算机,以及故意损坏受保护的计算机。如果罪名成立,他将面临超过20年的监禁。
与此同时,美国财政部已将Matveev添加到其非法金融交易人员名单中。此外,美国国务院悬赏1000万美元逮捕和/或起诉马特维耶夫,但只要他继续居住在俄罗斯,他就不太可能面临这两种情况。